Проблема была вызвана тем, что все элементы списка управления доступом (ACE), установленные для владельца группы (group@) и обычных групп (group:‹имя›), делегировались для текущего пользователя. Например, режим доступа 0770 (запись разрешена только для членов группы) обрабатывался как 0777 (запись разрешена для всех пользователей). Похожая ситуация наблюдалась с ACL, например, нижеприведённый ACL становился эквивалентен правам 0777, так как проверка члена группы для builtin_administrators возвращает значение True.
# owner: root # group: wheel group:builtin_administrators:rwxpDdaARWcCos:-------:allow
Также в порте OpenZFS для FreeBSD выявлена ещё одна проблема с предоставлением прав на переход в каталог (cd), независимо от состояния флага прав на исполнение для каталогов. Вход в каталог был возможен в том числе при явном запрете через ACL («deny — execute»)
Источник: http://www.opennet.ru/opennews/art.shtml?num=53611